您的位置:360文档中心› 第14章 端口安全配置

第14章 端口安全配置

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

第14章端口安全配置

本章主要讲述了贝尔系列交换机支持的端口安全功能以及详细的配置信息。

章节主要内容:

●端口安全介绍

●端口安全配置

●监控与维护

14.1端口安全介绍

端口安全一般应用在接入层。它能够对使用交换机端口的主机进行限制,允许某些特定的主机访问网络,而其他主机均不能访问网络。

端口安全功能将用户的MAC地址、IP地址、VLAN ID以及INTERFACE号四个元素灵活绑定,杜绝非法用户接入网络,从而保证网络数据的安全性,并保证合法用户能够得到足够的带宽。

用户可以通过三种规则来限制可以访问网络的主机,这三种规则分别是MAC规则,IP规则和MAX 规则,MAC规则又分为三种绑定方式:MAC绑定,MAC+IP绑定,MAC+VID绑定;IP规则可以针对某一IP也可以针对一系列IP;MAX规则用以限定端口可以“自由学习”到的(按顺序)最多MAC地址数目,这个地址数目不包括MAC规则和IP规则产生的合法MAC地址。在MAX规则下,又有sticky规则。如果端口仅配置了拒绝规则,没有配置MAX规则,其他报文均不能转发(通过允许规则检查的例外)。对于配置permit的MAC规则和IP规则系统将在端口LinkUp和端口安全使能时主动将配置写入二层转发表或发送ARP请求报文(详细见配置命令)。

Sticky规则的MAC地址,能够自动地学习,也能够手工地配置,并保存于运行的配置文件中。如果设备重启前保存运行的配置文件,设备重启后,不需再去配置,这些MAC地址自动生效。当端口下开启sticky功能,会将MAX规则学到的动态MAC地址添加成sticky规则,并保存到运行的配置的文件中。在MAX规则未学满的情况下,能允许继续学习新的MAC地址,形成sticky规则,直至sticky规则数达到MAX所配置的最大值。

这三种规则的配置如下:

(1)MAC规则

MAC绑定:

(config-if-gigabitethernetxxx)#port-security permit mac-address 0050.bac3.bebd

(config-if- gigabitethernetxxx)#port-security deny mac-address 0050.bac3.bebd

MAC+VID绑定:

(config-if- gigabitethernetxxx)#port-security permit mac-address 0050.bac3.bebd vlan-id 100

(config-if- gigabitethernetxxx)#port-security deny mac-address 0050.bac3.bebd vlan-id 100

MAC+IP绑定:

(config-if-gigabitethernetxxx)#port-security permit mac-address 0050.bac3.bebd ip-address 128.255.1.1 (config-if-gigabitethernetxxx)#port-security deny mac-address 0050.bac3.bebd ip-address 128.255.1.1

(2)IP规则

(config-if- gigabitethernetxxx)#port-security permit ip-address 128.255.1.1

(config-if-gigabitethernetxxx)#port-security deny ip-address 128.255.1.1

(config-if-gigabitethernetxxx)#port-security permit ip-address 128.255.1.1 to 128.255.1.63

(config-if- gigabitethernetxxx)#port-security deny ip-address 128.255.1.1 to 128.255.1.63

(3)MAX规则

(config-if- gigabitethernetxxx)#port-security maximum 50

(config-if- gigabitethernetxxx)# port-security permit mac-address sticky 0050.bac3.bebd

(config-if- gigabitethernetxxx)# port-security permit mac-address sticky 0050.bac3.bebe vlan-id 100

注:

1、如果一个MAC地址或IP地址是被deny掉的,即使这时未达到MAX的上限,该主机也不能通讯。

2、端口安全不能与802.1X共同启用。

14.2端口安全配置

本节主要内容:

●端口安全配置命令基本描述

●端口安全启用与关闭

●配置MAC绑定

●配置MAC+VLAN绑定

●配置MAC+IP绑定

●配置IP规则

●配置MAX规则

●配置地址老化时间

●配置静态地址老化

●配置错误处理模式

●配置日志输出间隔

14.2.1基本指令描述

port-security

该命令在端口启用或者关闭端口安全功能。

port-security {enable|disable}

no port-security

语法描述enable 启用端口安全

disable 关闭端口安全

相关文档
最新文档